05 mar Przenoszalność danych – jak realizować nową zasadę z RODO?

Przenoszalność danych jest jednym z nielicznych, całkowicie nowych wymogów, wprowadzonych na gruncie RODO. W praktyce realizacja zasady przenoszalności może wymagać znacznych nakładów finansowych – przeniesienie wszystkich danych z jednego systemu informatycznego do innego jest często trudną operacją. Co więcej, nie jest przewidywana na etapie projektowania systemu. W jakich sytuacjach przedsiębiorcy faktycznie muszą wykonać nowy obowiązek i jak można ograniczyć zakres jego realizacji? Praktyczne porady poniżej.

Przenoszenie danych – na czym polega?

Zgodnie z RODO, przenoszenie danych wymaga, aby osobie, której dane dotyczą, umożliwić bez przeszkód:

• otrzymanie dotyczących jej danych, które dostarczyła administratorowi danych;
• przesłanie tych danych innemu administratorowi.

W praktyce, od strony technicznej najprościej jest wykonać kopię określonych danych. Co istotne, dane powinny zostać wydane w „ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”. Intencją jest, aby zarówno osoba, której dane dotyczą jak też wskazane przez nią podmioty (inny administrator) – mogły faktycznie wykorzystać zebrane dane.

Przenoszenie danych – kiedy faktycznie jest obowiązkowe?

Ustawodawca zdawał sobie sprawę z tego jak trudne i niepraktyczne (również z perspektywy osoby, której dane dotyczą) może być przesłanie wszelkich danych. Z tego względu, wystarczy umożliwić przeniesienie tych danych, które zostały dostarczone administratorowi danych przez osobę, której dotyczą. Co więcej, RODO dodatkowo ogranicza obowiązek zapewnienia przenoszalności do danych przetwarzanych na podstawie:

• zgody osoby, której dane dotyczą;
• niezbędnych do wykonania umowy której stroną jest osoba, której dane dotyczą;
• niezbędnych do wykonania działań na żądanie ww. osoby, przed zawarciem umowy.

Ponadto, nie jest konieczne zapewnienie przenoszalności danych w przypadku, w którym nie są one przetwarzane w sposób zautomatyzowany. Upraszczając, nie wymaga się przesłania w „ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego” danych, które są przetwarzane analogowo, np. w segregatorach czy tradycyjnej, listownej korespondencji (chyba, że dane te zostały zdigitalizowane i są przetwarzane automatycznie).

W praktyce, wymóg przenoszalności najczęściej dotyczy tzw. „user generated content” (treści tworzonych przez użytkowników). Intencją jest, aby treści takie mogły być swobodnie przenoszone (np. z jednego portalu społecznościowego na inny, czy pomiędzy platformami pozwalającymi na publikacje blogów) – tak, by użytkownik nie był pośrednio uzależniony od korzystania z określonego usługodawcy.

Przenoszenie danych – praktyczne problemy

Pomysł przenoszenia danych nie jest bardzo skomplikowany, jednak diabeł tkwi w szczegółach, a realizacja obowiązku może generować istotne koszty. W praktyce, pojawia się też wiele wątpliwości – jak rozumieć sytuacje, w których przenoszenie danych jest obligatoryjne.

Przykładowo, może zastanawiać co oznaczają dane dostarczone przez osobę, której dotyczą (a jedynie takich danych dotyczy obowiązek przenoszalności). Można byłoby uznać, że dane automatycznie generowane przez administratora danych (np. statystyki wejść na określone strony www służące wytworzeniu profilu użytkownika) nie są „dostarczone”.

W praktyce przyjmuje się jednak, że „dostarczenie” danych może nastąpić biernie lub aktywnie – i obie te sytuacje wiążą się z obowiązkiem zapewnienia przenoszalności danych. Przykładowo, przez aktywne dostarczenie danych rozumie się np. wypełnienie formularzy czy wysłanie e-maila. Biernym dostarczeniem danych będzie np. gromadzenie statystyk używania określonych usług i ich funkcjonalności.

Przyjmuje się jednak – choć kwestia ta jeszcze nie została potwierdzona oficjalnymi decyzjami organów – że „dostarczeniem” nie będzie już np. wnioskowanie na podstawie już uzyskanych danych. W praktyce oznacza to, że np. operator sklepu internetowego ma obowiązek przesłania użytkownikowi historii transakcji i wyświetlania reklam (np. informacja, że użytkownik nr 1206 kupił w 2018 roku 16 par męskich półbutów), ale nie jest zobowiązany do przesłania wniosków i przewidywań dot. tego użytkownika (np. informacja, że użytkownikowi nr 1206 najczęściej będą przedstawiane promocje dot. męskich półbutów a nie szpilek).

Jaki format używany powszechnie?

Innym praktycznym problemem jest rozumienie „ustrukturyzowanego, powszechnie używanego formatu nadającego się do odczytu maszynowego”. O ile kwestia odczytu maszynowego nie powinna generować problemów praktycznych (pliki odczytywane przez komputer co do zasady spełniają to wymaganie, a pojęcie to pojawiało się już w się także w innych aktach prawnych), o tyle dyskusyjna jest kwestia „ustrukturyzowania” i „powszechnego używania” formatu.

Pierwotnie, kwestię tę miała bezpośrednio wyjaśnić Komisja Europejska – jednak w finalnej wersji RODO, zdecydowano nie precyzować tej kwestii, tak by zachować neutralność technologiczną prawa i nie premiować określonych dostawców oprogramowania.

W praktyce, na tym etapie ciężko więc znaleźć jednoznacznie bezpieczny format, spełniający wymagania RODO – przy czym można uznać, że intencją ustawodawcy jest wypracowanie całkowicie nowych formatów plików (zgodnie z RODO, „administratorzy powinni być zachęcani do opracowania interoperacyjnych formatów, które umożliwiają przenoszenie danych”). Z tego względu, wielu przedsiębiorców czeka, aż kluczowi gracze na rynku wypracują nowe rozwiązania – warto jednak pamiętać, że na wypracowanie takich rozwiązań zostały niecałe 3 miesiące. Może się więc okazać, że przedsiębiorcy będą zmuszeni do korzystania z już dostępnych na rynku, powszechnie używanych programów – a następnie wytłumaczenia przed właściwymi organami, że formaty takie jak .pdf czy .xls są „powszechnie używane” i „ustrukturyzowane”.

Podsumowując – zapewnienie przenoszalności danych wymaga stosowania całkowicie nowych rozwiązań, których wdrożenie może wymagać modyfikacji istniejących systemów informatycznych. Nie znamy jeszcze w pełni praktycznych rozwiązań które z całą pewnością wyeliminowałyby istniejące wątpliwości interpretacyjne. Jednocześnie, obowiązek zapewnienia przenoszalności jest stosunkowo ograniczony, i dotyczy jedynie wąskich kategorii przetwarzanych danych – co daje przedsiębiorcom szanse na wdrożenie nowych wymogów w praktyce.